Capture The Flag : Un jeu participatif pour renforcer ou accroître ses compétences en cybersécurité ?

[EXCLUSIF] Développer ses compétences cyber dans un cadre ludique et participatif. C’est ce que propose les CTF ou Capture The Flag, un « jeu » consistant à hacker un système informatique. Démonstration de ses talents pour les uns et analyse contrôlée de son système pour les autres, les intérêts se rencontrent dans un CTF. Comment se joue-t-il ? Quelles sont les épreuves ? Explications du phénomène.

Expert technique au sein des équipes Cyberdéfense de Sopra Steria.

Clément Domingo, Expert technique au sein des équipes Cyberdéfense de Sopra Steria.

Comment se définit un Capture The Flag — CTF ?

Une équipe, composée de hackers ou non, a la plupart du temps pour objectif de s’introduire dans un système informatique afin de récupérer un document faisant office de drapeau. Le drapeau pourrait être assimilé à la preuve témoignant de l’intrusion dans le système par l’équipe. Ce drapeau n’a donc aucune valeur monétaire, mais chaque étape réalisée rapporte des points, permettant ainsi de récompenser l’équipe victorieuse au terme de la compétition.

Un CTF peut se dérouler selon deux modes :

  • Le mode « attaque-défense »: il oppose des équipes entre elles. Chaque équipe doit, tour à tour, attaquer ou se défendre. Tous les coups sont permis, ou presque. C’est l’organisateur qui définit quelles sont les règles à ne pas transgresser et qui indique les outils à disposition de chacun.
  • Le mode « salve d’épreuves » : lors d’étapes successives, les participants sont invités à relever un ou plusieurs défis, et non le jeu dans sa totalité. Pour cela, ils peuvent choisir une catégorie en fonction de leurs domaines de compétences et du nombre de points attribués à chaque épreuve de la catégorie. Le temps est alors un enjeu important pour gagner la partie, puisque lui seul met fin au jeu.

Les organisateurs de CTF ont la possibilité de proposer des niveaux de difficultés différents. Les participants ont dès lors le choix d’y participer ou non selon leur niveau d’expertise technique.

Par ailleurs, les CTF permettent aux participants de s’introduire dans des systèmes simulés très proches de la réalité afin d’en détecter les failles. Ces attaques maitrisées mettent en évidence les vulnérabilités des systèmes, et par leur remédiation, permettent d’éviter qu’une attaque du même type se produise par un hacker mal intentionné sur un vrai système.

L’intérêt de l’immersion et des « serious games » en sécurité informatique a été largement reconnu. Aujourd’hui, les CTF sont présents dans les grands rendez-vous et les conférences en cybersécurité comme Google, la DEFCON, la NuitDuHack ou encore le BreizhCTF…

Comment aborder un CTF ?

Ce type de jeu peut s’appliquer à plusieurs domaines et à différentes catégories. Les catégories comportent des épreuves classées selon leur niveau de difficulté, combinant ainsi le jeu à l’expertise.

Dans l’univers des CTFs, il existe quelques grands domaines inéluctables de la cybersécurité :

  • Binary Analysis/Reverse Engineering: cela consiste généralement à inverser le fonctionnement d’un programme pour trouver le mot de passe.
  • Web: en analysant des scripts, les participants ont pour mission d’exploiter les failles du site ou de l’application et de retrouver un mot de passe.
  • Forensic: le défaut vient d’une machine compromise. L’objectif est de trouver une information précise qu’elle contient à l’aide d’autres machines (RAM, disques, logs).
  • Réseau: le système a subi une attaque par DDoS (déni de service) par exemple et les équipes ont pour but de trouver le hackeur responsable, ainsi que sa procédure.
  • Cryptographie: la mission est d’exploiter la faille d’un algorithme défaillant par erreur humaine et ainsi de lire des échanges censés être chiffrés.
  • Mobile Security: les professionnels sont chargés de trouver une application mobile défaillante sur le téléphone cobaye. Le drapeau se trouve dans l’application en question.
  • Stéganographie: le drapeau est caché dans un document ou un média.
  • Physique: sur le modèle de l’escape game, l’objectif est de décoder une clé USB dans un local fermé pour trouver le drapeau. Cette forme est plus rare dans l’univers des CTF.

Dans la majorité des cas, les organisateurs ont installé un système présentant des défaillances courantes (comme un mot de passe trop simple ou un dossier inhabituellement accessible). Les niveaux de drapeau sont aussi différents, il peut s’agir d’un élément très visible, comme d’une information bien cachée.

Quels sont les bénéfices ?

Pour l’entreprise :

  • Démontrer son intérêt et son action en faveur de la cybersécurité
  • Dénicher de nouveaux talents
  • Promouvoir, soutenir et développer l’écosystème de la sécurité informatique

Pour les participants :

  • Découvrir et maîtriser de nouvelles compétences
  • Rencontrer de potentiels recruteurs
  • Profiter de l’écosystème en travaillant avec d’autres professionnels

Quelle boîte à outils pour participer à un CTF ?

Le matériel requis pour participer à un tel événement varie en fonction de la nature du CTF. Dans la majeure partie des cas, un ordinateur suffira. Dans certaines compétitions, les participants devront ramener du matériel spécifique comme des kits de « lockpicking » ou encore des « kits radio » ou « nfc ». Pour certaines compétitions qui se déroulent « on-site » (comprendre sur site) où les participants se déplacent physiquement, il est nécessaire de se munir d’un câble Ethernet pour se connecter à l’infrastructure du CTF. De façon plus globale, les outils nécessaires au déroulement d’un CTF sont semblables à celui d’un pentest (ou test d’intrusion) : une machine Linux (idéalement Kali Linux) et des outils ou scripts spécifiques/spécialisés.

Le CTF, une « pratique » de plus en plus courante

Google organise depuis 2016 son propre CTF. Son objectif est triple : améliorer sa sécurité, faire connaître le mouvement et voir grandir la communauté de white hackers.

Ces quatre dernières années ont vu s’étendre ces évènements de manière exponentielle. La quantité de participants n’ayant jamais été aussi importante, les rendez-vous se font de plus en plus nombreux. Un milieu passionnant, une approche ludique, une compétition farouche… autant de réponses au succès du mouvement.